Eml si-unas
Descargar como PPT, PDF0 recomendaciones474 vistas
El documento describe el problema central de que la Universidad Nacional Agraria de la Selva no implementa la Norma ISO 27000 (27001 y 27002). Analiza las causas y efectos de este problema a través de árboles de causas y efectos. Propone como objetivo central implementar dicha norma e identifica medios y acciones necesarios para lograrlo, como construir políticas de seguridad de la información, capacitar a los usuarios y equipar un estudio de seguridad de la información.
Eml si-unas
- 1. Gráfico N° 1: SÍNTESIS DEL PROBLEMA Relación con los Lineamientos de la Institución: El Proyecto guarda relación con los Lineamientos de Política de Seguridad de la Información: Mejorar los Servicios de Seguridad de la Información. Adecuada implementación del ISO 27001 y 27002. Optimización de los recursos existentes de la información y gestión. Mejora en calidad de los servicios de información. Población y Zona de Influencia: Alumnos, Docentes y Personal Administrativo de las diferentes oficinas, áreas y centros de la Universidad Nacional Agraria de la Selva . Gravedad del problema: Inapropiada infraestructura de la seguridad de la información. Insuficiente prácticas y políticas de seguridad de la información Administrativa y Académica. Desinterés e Ignorancia de los usuarios (alumnos, egresados, docentes y personal administrativo) Inadecuada organización y gestión de la seguridad de la información. Limitada Capacitación, personal y presupuesto. Propuesta de un Programa priorizado por el Plan Anual de Inversiones 2015 en la Universidad Nacional Agraria de la Selva (UNAS) de Infraestructura considerando que el Financiamiento requiere el respaldo de la OPI de la UNAS y fondos del gobierno regional o del MEF. Posibilidades y Limitaciones: Organización funcional del Centro de Tecnologías de la Información y Comunicación. Implementación de un Piloto de áreas funcionales. Propuesta de Implementación de un proyecto PIP para CTIC (ERP Académico, Data Center e Infraestructura) Soluciones planteadas anteriormente: Definición del Problema No cuenta con la implementación de la Norma ISO 27000 (27001 y 27002).
- 2. PROBLEMA CENTRAL No cuenta con la implementación de la Norma ISO 27000 (27001 y 27002) la Universidad Nacional Agraria de la Selva PROBLEMA CENTRAL No cuenta con la implementación de la Norma ISO 27000 (27001 y 27002) la Universidad Nacional Agraria de la Selva Causa Directa: Inapropiada infraestructura para los Servicios de la seguridad de la información. Causa Directa: Inapropiada infraestructura para los Servicios de la seguridad de la información. Causa Indirecta: Infraestructura vulnerable Antigua y disfuncional. Causa Indirecta: Infraestructura vulnerable Antigua y disfuncional. Causa Directa: Insuficiente y Obsoleta Tecnología, Equipos y Herramientas . Causa Directa: Insuficiente y Obsoleta Tecnología, Equipos y Herramientas . Causa Indirecta: Inexistencia de Tecnología, Equipos, Herramientas para gestionar la Seguridad de la información. Causa Indirecta: Inexistencia de Tecnología, Equipos, Herramientas para gestionar la Seguridad de la información. Causa Directa: Inadecuada organización y Gestión de los Servicios de la seguridad de la información. Causa Directa: Inadecuada organización y Gestión de los Servicios de la seguridad de la información. Causa Indirecta: Insuficiente implementación De normas, certificaciones que Aseguren la información. Causa Indirecta: Insuficiente implementación De normas, certificaciones que Aseguren la información. Causa Directa: Insuficiente prácticas y políticas de seguridad de la información Administrativa y Académica.. Causa Directa: Insuficiente prácticas y políticas de seguridad de la información Administrativa y Académica.. Causa Indirecta: Falta de normalización y Reglamentación en los Procesos estratégicos, claves Y de apoyo. Causa Indirecta: Falta de normalización y Reglamentación en los Procesos estratégicos, claves Y de apoyo. Causa Directa: Desinterés o ignorancia de las Autoridades por la seguridad de la información. Causa Directa: Desinterés o ignorancia de las Autoridades por la seguridad de la información. Causa Indirecta: Insuficiente Capacitación, Difusión, Sensibilización y Falta de compromiso de las Autoridades competentes. Causa Indirecta: Insuficiente Capacitación, Difusión, Sensibilización y Falta de compromiso de las Autoridades competentes. CAUSA INICIAL Limitada Promoción de la seguridad de la información en la Universidad Nacional Agraria de la Selva de la Región Huánuco. CAUSA INICIAL Limitada Promoción de la seguridad de la información en la Universidad Nacional Agraria de la Selva de la Región Huánuco. Gráfico N° 2: ÁRBOL DE CAUSAS
- 3. Efecto Final: Ineficiencia e Ineficacia de la Seguridad de la Información en la Universidad Nacional Agraria de la Selva de la Región Huánuco. Efecto Final: Ineficiencia e Ineficacia de la Seguridad de la Información en la Universidad Nacional Agraria de la Selva de la Región Huánuco. Efecto indirecto: Incremento de los Costos para la implementación de la ISO 27001 y 27002. Efecto indirecto: Incremento de los Costos para la implementación de la ISO 27001 y 27002. Efecto indirecto: Incremento de la Demanda De Información y sistemas de Información. Efecto indirecto: Incremento de la Demanda De Información y sistemas de Información. Efecto indirecto: Insatisfacción de los Estudiantes, docentes y Personal administrativo. Efecto indirecto: Insatisfacción de los Estudiantes, docentes y Personal administrativo. Efecto indirecto: Incremento de Complicaciones de los Sistemas de información. Efecto indirecto: Incremento de Complicaciones de los Sistemas de información. Efecto Directo: Deterioro de la Eficiencia y Eficacia del Servicio De la Seguridad de la Información. Efecto Directo: Deterioro de la Eficiencia y Eficacia del Servicio De la Seguridad de la Información. Efecto Directo: Retraso en la garantía de la información a todo nivel De proceso. Efecto Directo: Retraso en la garantía de la información a todo nivel De proceso. PROBLEMA CENTRAL No cuenta con la implementación de la Norma ISO 27000 (27001 y 27002) la Universidad Nacional Agraria de la Selva . PROBLEMA CENTRAL No cuenta con la implementación de la Norma ISO 27000 (27001 y 27002) la Universidad Nacional Agraria de la Selva . Efecto Directo: Gestión Inapropiada del Servicio de la Seguridad de la información. Efecto Directo: Gestión Inapropiada del Servicio de la Seguridad de la información. Efecto indirecto: Inadecuado Control en los Procesos de La seguridad de la Información. Efecto indirecto: Inadecuado Control en los Procesos de La seguridad de la Información. Efecto indirecto: Bajo interés e identifica- Cion con los Servicios De la seguridad de la Información. Efecto indirecto: Bajo interés e identifica- Cion con los Servicios De la seguridad de la Información. Gráfico Nº 3: ÁRBOL DE EFECTOS
- 4. OBJETIVO CENTRAL Implementar la Norma ISO 27000 (27001 y 27002) en la Universidad Nacional Agraria de la Selva. OBJETIVO CENTRAL Implementar la Norma ISO 27000 (27001 y 27002) en la Universidad Nacional Agraria de la Selva. Medio de Primer Nivel: Apropiada infraestructura para los Servicios de la Seguridad de la Información. Medio de Primer Nivel: Apropiada infraestructura para los Servicios de la Seguridad de la Información. Medio Fundamental: Infraestructura Adecuada De los sistemas de Información. Medio Fundamental: Infraestructura Adecuada De los sistemas de Información. Medio de Primer Nivel: Suficientes y Vigentes Tecnología, Equipos y Herramientas. Medio de Primer Nivel: Suficientes y Vigentes Tecnología, Equipos y Herramientas. Medio Fundamental: Plataforma Tecnológica, Equipos, y Herramientas avanzadas. Medio Fundamental: Plataforma Tecnológica, Equipos, y Herramientas avanzadas. Medio de Primer Nivel: Población Capacitada, Sensibilizada y Motivada en La Seguridad de la Información. Medio de Primer Nivel: Población Capacitada, Sensibilizada y Motivada en La Seguridad de la Información. Medio Fundamental: Capacitación y Talleres De Sensibilización a la Seguridad de la Información. Medio Fundamental: Capacitación y Talleres De Sensibilización a la Seguridad de la Información. Medio de Primer Nivel: Adecuados Procesos Simplificados para las Diferentes oficinas, áreas y centros de la UNAS Medio de Primer Nivel: Adecuados Procesos Simplificados para las Diferentes oficinas, áreas y centros de la UNAS Medio Fundamental: Normalización de los Procesos estratégicos, claves Y de soporte en la UNAS. Medio Fundamental: Normalización de los Procesos estratégicos, claves Y de soporte en la UNAS. Medio de Primer Nivel: Adecuada organización y Gestión de los Servicios De la Seguridad de la Información. Medio de Primer Nivel: Adecuada organización y Gestión de los Servicios De la Seguridad de la Información. Medio Fundamental: Modelo de Gestión Integral De la Seguridad de la Información. Medio Fundamental: Modelo de Gestión Integral De la Seguridad de la Información. Gráfico Nº 4: ÁRBOL DE MEDIOS
- 5. Fin Último: Eficiencia y Eficacia de los Servicios de Seguridad de la Información en la Universidad Nacional Agraria de la Selva de la Región Huánuco. Fin Último: Eficiencia y Eficacia de los Servicios de Seguridad de la Información en la Universidad Nacional Agraria de la Selva de la Región Huánuco. Fin Indirecto: Disminución de los Costos para el aseguramiento de la información. Fin Indirecto: Disminución de los Costos para el aseguramiento de la información. Fin Indirecto: Facilidades para Gestionar la Demanda de la seguridad de La información. Fin Indirecto: Facilidades para Gestionar la Demanda de la seguridad de La información. Fin Indirecto: Satisfacción del Estudiante, docente Y personal adminis trativo. Fin Indirecto: Satisfacción del Estudiante, docente Y personal adminis trativo. Fin Indirecto: Adecuada conocimiento En la corporación universitaria. Fin Indirecto: Adecuada conocimiento En la corporación universitaria. Fin Directo: Mejoramiento de la Eficiencia y Eficacia del Servicio De la Seguridad de la Información. Fin Directo: Mejoramiento de la Eficiencia y Eficacia del Servicio De la Seguridad de la Información. Fin Directo: Oportuna Atención de la corporación Universitaria en los Servicios de Seguridad de la información. Fin Directo: Oportuna Atención de la corporación Universitaria en los Servicios de Seguridad de la información. OBJETIVO CENTRAL Certificado con la Norma ISO 27001 y 27002 en la Universidad Nacional Agraria de la Selva. OBJETIVO CENTRAL Certificado con la Norma ISO 27001 y 27002 en la Universidad Nacional Agraria de la Selva. Fin Indirecto: Adecuado Control en los Procesos Estratégicos, clave Y apoyo de la UNAS. Fin Indirecto: Adecuado Control en los Procesos Estratégicos, clave Y apoyo de la UNAS. Fin Indirecto: Alta seguridad de los Servicios de información. Fin Indirecto: Alta seguridad de los Servicios de información. Fin Directo: Gestión Apropiada del Servicio de Seguridad de la Información. Fin Directo: Gestión Apropiada del Servicio de Seguridad de la Información. Gráfico Nº 5: ÁRBOL DE FINES
- 6. Alternativas de Solución: Alternativa 1: Construcción de políticas y buenas prácticas y de seguridad de la información, Equipamiento de un Estudio De Seguridad de la Información, Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información, Implementación del Modelo de Seguridad de la Información, Propuesta de Normativa e Implementación de Procesos estratégicos, claves y apoyo en la UNAS. . (Acción 1.1, 1.2, 2.1, 2.2, 3.1, 4.1, 5.1). Alternativas de Solución: Alternativa 1: Construcción de políticas y buenas prácticas y de seguridad de la información, Equipamiento de un Estudio De Seguridad de la Información, Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información, Implementación del Modelo de Seguridad de la Información, Propuesta de Normativa e Implementación de Procesos estratégicos, claves y apoyo en la UNAS. . (Acción 1.1, 1.2, 2.1, 2.2, 3.1, 4.1, 5.1). 1. Medio Fundamental: Infraestructura Adecuada De los sistemas de Información. 1. Medio Fundamental: Infraestructura Adecuada De los sistemas de Información. 4.1. Acción: Implementación del Modelo de Seguridad de la Información. 4.1. Acción: Implementación del Modelo de Seguridad de la Información. 3. Medio Fundamental: Capacitación y Talleres De Sensibilización a la Seguridad de la Información. 3. Medio Fundamental: Capacitación y Talleres De Sensibilización a la Seguridad de la Información. 4. Medio Fundamental: Modelo de Gestión Integral De la Seguridad de la Información. 4. Medio Fundamental: Modelo de Gestión Integral De la Seguridad de la Información. 1.1 Acción: Construcción de políticas y buenas prácticas y de seguridad de la información. 1.1 Acción: Construcción de políticas y buenas prácticas y de seguridad de la información. 3.1 Acción: Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información. 3.1 Acción: Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información. 2. Medio Fundamental: Plataforma Tecnológica, Equipos, y Herramientas avanzadas. . 2. Medio Fundamental: Plataforma Tecnológica, Equipos, y Herramientas avanzadas. . 2.1 Acción: Equipamiento de un Estudio De Seguridad de la Información. 2.1 Acción: Equipamiento de un Estudio De Seguridad de la Información. 5.1. Acción: Propuesta de Normativa e Implementación de Procesos estratégicos, claves Y apoyo en la UNAS. 5.1. Acción: Propuesta de Normativa e Implementación de Procesos estratégicos, claves Y apoyo en la UNAS. 5. Medio Fundamental: Normalización de los Procesos estratégicos, claves Y de soporte en la UNAS. 5. Medio Fundamental: Normalización de los Procesos estratégicos, claves Y de soporte en la UNAS. Gráfico Nº 6: MEDIOS FUNDAMENTALES Y ACCIONES 1.2 Acción: Construcción de reglamentos, Procedimientos, normas y directivas aprobadas. 1.2 Acción: Construcción de reglamentos, Procedimientos, normas y directivas aprobadas. 2.2 Acción: Equipamiento de un Data Center Y personal capacitado. 2.2 Acción: Equipamiento de un Data Center Y personal capacitado.
- 7. Alternativas de Solución: Alternativa 1: Construcción de políticas y buenas prácticas y de seguridad de la información, Equipamiento de un Estudio De Seguridad de la Información, Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información, Implementación del Modelo de Seguridad de la Información, Propuesta de Normativa e Implementación de Procesos estratégicos, claves y apoyo en la UNAS. . (Acción 1.1, 1.2, 2.1, 2.2, 3.1, 4.1, 5.1). Alternativas de Solución: Alternativa 1: Construcción de políticas y buenas prácticas y de seguridad de la información, Equipamiento de un Estudio De Seguridad de la Información, Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información, Implementación del Modelo de Seguridad de la Información, Propuesta de Normativa e Implementación de Procesos estratégicos, claves y apoyo en la UNAS. . (Acción 1.1, 1.2, 2.1, 2.2, 3.1, 4.1, 5.1). 1. Medio Fundamental: Infraestructura Adecuada De los sistemas de Información. 1. Medio Fundamental: Infraestructura Adecuada De los sistemas de Información. 4.1. Acción: Implementación del Modelo de Seguridad de la Información. 4.1. Acción: Implementación del Modelo de Seguridad de la Información. 3. Medio Fundamental: Capacitación y Talleres De Sensibilización a la Seguridad de la Información. 3. Medio Fundamental: Capacitación y Talleres De Sensibilización a la Seguridad de la Información. 4. Medio Fundamental: Modelo de Gestión Integral De la Seguridad de la Información. 4. Medio Fundamental: Modelo de Gestión Integral De la Seguridad de la Información. 1.1 Acción: Construcción de políticas y buenas prácticas y de seguridad de la información. 1.1 Acción: Construcción de políticas y buenas prácticas y de seguridad de la información. 3.1 Acción: Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información. 3.1 Acción: Difusión, Sensibilización y Capacitación de Actores en la Seguridad de la Información. 2. Medio Fundamental: Plataforma Tecnológica, Equipos, y Herramientas avanzadas. . 2. Medio Fundamental: Plataforma Tecnológica, Equipos, y Herramientas avanzadas. . 2.1 Acción: Equipamiento de un Estudio De Seguridad de la Información. 2.1 Acción: Equipamiento de un Estudio De Seguridad de la Información. 5.1. Acción: Propuesta de Normativa e Implementación de Procesos estratégicos, claves Y apoyo en la UNAS. 5.1. Acción: Propuesta de Normativa e Implementación de Procesos estratégicos, claves Y apoyo en la UNAS. 5. Medio Fundamental: Normalización de los Procesos estratégicos, claves Y de soporte en la UNAS. 5. Medio Fundamental: Normalización de los Procesos estratégicos, claves Y de soporte en la UNAS. Gráfico Nº 6: MEDIOS FUNDAMENTALES Y ACCIONES 1.2 Acción: Construcción de reglamentos, Procedimientos, normas y directivas aprobadas. 1.2 Acción: Construcción de reglamentos, Procedimientos, normas y directivas aprobadas. 2.2 Acción: Equipamiento de un Data Center Y personal capacitado. 2.2 Acción: Equipamiento de un Data Center Y personal capacitado.